Worm.Runonce.Win32.160

Worm.Runonce.Win32.160 – Червь, распространяющийся по E-mail и инфицирующий EXE файлы. Является приложением Windows (EXE файл). размер файла ~12 Кбайт, написан на языке C++.

Методы распространения

распространяется через Интернет в виде вложений в электронные письма. Также заражение может произойти при запуске инфицированного EXE, Html или Htm файла на локальном компьютере.

Внедрение в систему

После  запуска, червь копирует своё тело в папку Windows\System32 под именем runouce.exe

Для автоматического запуска при каждом запуске системы червь добавляет следующий ключ реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 Runonce="%System%\runouce.exe"

Червь ищет на локальном диске исполняемые файлы Windows PE(EXE) и заражает их, добавляя своё тело в конец файла и изменяя исходную точку входа.

Также  червь ищет на локальном диске HTML и HTM файлы и модифицирует их, добавляя в конец каждого файла вредоносный код на языке JavaScript.  В папках содержащих HTML файлы червь создает файлы с именем readme.eml.

Когда пользователь открывает зараженный  HTM или HTML файл - выполняется вредоносный JavaScript, который запускает файл readme.eml, являющийся копией электронного сообщения (e-mail) содержащего вирус.

Деструктивные действия

Червь сканирует локальные текстовые файлы для поиска адресов E-Mail. После чего рассылает по всем найденным адресам электронные письма с прикреплённой копией своего тела.

рекомендации по лечению

Для удаления вредоносного программного обеспечения необходимо выполнить полную проверку инфицированного компьютера антивирусом Zillya с новыми антивирусными базами.